上面左边是我的个人微 信，如需进一步沟通，请加好 友。  右边是我的公众号“Openstack私有云”，如有兴趣，请关注。

在实际生产中，容器镜像需要放在本地，本地需要建立一个容器镜像仓库存放相关的镜像，并且能够根据不同账号设置不同的镜像使用权限，另外，这个仓库最好还能通过web管理界面能够很好的进行管理，比如设置权限、删除镜像、管理镜像空间等等 。

Habor是由VMWare公司开源的容器镜像仓库。官方地址：https://vmware.github.io/harbor/cn/

Harbor主要功能 

1. 基于角色访问控制（RBAC）

在企业中，通常有不同的开发团队负责不同的项目，镜像像代码一样，每个人角色不同需求也不同，因此就需要访问权限控制，根据角色分配相应的权限。

例如，开发人员需要对项目构建这就用到读写权限（push/pull），测试人员只需要读权限（pull），运维一般管理镜像仓库，具备权限分配能力，项目经理具有所有权限。

在Harbor中，有三种角色：

Guest：对指定项目只读权限

Developer：开发人员，读写项目的权限

Admin：项目管理，所有权限

Anonymous：当用户未登录时，该用户视为匿名用户。匿名用户不能访问私有项目，只能访问公开项目

2. 镜像复制

可以将仓库中的镜像同步到远程的Harbor，类似于MySQL主从同步功能。

3. LDAP

Harbor支持LDAP认证，可以很轻易接入已有的LDAP。

4. 镜像删除和空间回收

Harbor支持在Web删除镜像，回收无用的镜像，释放磁盘空间。

5. 图形页面管理

用户很方面搜索镜像及项目管理。

6. 审计

对仓库的所有操作都有记录。

7. REST API

完整的API，方便与外部集成

Harbor组件

Harbor部署：

硬件、软件、端口要求如下，以下图片来自网络：

我使用的是2核CPU、4G内存、40G的pve虚拟机一台，如下配置：

Harbor安装有3种方式：

在线安装：从Docker Hub下载Harbor相关镜像

离线安装：安装包包含部署的相关镜像

OVA安装程序：当用户具有vCenter环境时，使用此安装程序，在部署OVA后启动Harbor

这里采用离线安装，首先下载离线安装包：https://github.com/vmware/harbor/releases

HTTP方式部署

基本配置：

# tar xzvf harbor-offline-installer-v1.7.1.tgz
# cd harbor
# vi harbor.cfg
hostname = 192.168.1.44   # IP地址或者域名访问
ui_url_protocol = http
harbor_admin_password = 123456  # Web登录密码

准备配置文件：
# ./prepare
安装并启动Harbor：
./install.sh
会提示需要安装docker 和 docker-compose
# yum install docker docker-client docker-common
其中docker-compose需要用到epel源：
# yum install epel-release -y
# yum install -y docker-compose
再次执行install.sh

安装完成后：

查看运行状态：

[root@localhost harbor]# docker-compose psName                     Command               State               Ports
-------------------------------------------------------------------------------------------
harbor-adminserver   /harbor/start.sh                 Up
harbor-core          /harbor/start.sh                 Up
harbor-db            /entrypoint.sh postgres          Up      5432/tcp
harbor-jobservice    /harbor/start.sh                 Up
harbor-log           /bin/sh -c /usr/local/bin/ ...   Up      127.0.0.1:1514->10514/tcp
harbor-portal        nginx -g daemon off;             Up      80/tcp
nginx                nginx -g daemon off;             Up      0.0.0.0:443->443/tcp,        0.0.0.0:4443->4443/tcp,      0.0.0.0:80->80/tcp
redis                docker-entrypoint.sh redis ...   Up      6379/tcp
registry             /entrypoint.sh /etc/regist ...   Up      5000/tcp
registryctl          /harbor/start.sh                 Up

登录web界面：

账号 admin，密码就是在harbor.cfg配置文件里面设置的123456

接下来就是简单使用，可以看到，harbor方便了管理，一般3类用户就够了，进行一个简单测试，新建一个开发用户，然将这个开发用户绑定到library项目，用这个用户登陆harbor推送和下载镜像。

具体的建用户过程就不详细写了，新建一个用户ywb，登陆，

系统会提示推送镜像需要运行的命令，还是很人性化的。

在客户端执行：

docker login 192.168.1.44

会报错https://192.168.1.44   connection refuse ，是因为docker 默认使用的是https连接，我们上面使用的是http安装，需要修改 /etc/docker/daemon.json文件，加入如下内容：

{"insecure-registries":["192.168.1.44:80"]}

或者，在 /etc/sysconfig/docker 配置文件的 OPTIONS 选项中增加一个选项：

--insecure-registry=192.168.1.44

之后对docker进行重启：

systemctl restart docker

测试过程：

1、下载一个tomcat 镜像：

docker pull tomcat

2、对这个镜像进行标记：

docker tag docker.io/tomcat 192.168.1.44/library/tomcat

3、登录harbor这个registry：

docker login 192.168.1.44

输入上面创建的账号密码。

4、上传这个镜像：

docker push 192.168.1.44/library/tomcat

最后使用个人账号登录web界面，可以看到镜像成功上传：

总结：

Harbor的安装使用都是很方便的，部署方式本身也是通过docker和容器编排docker-compose 实现 ，主要解决了局域网内的容器镜像管理问题。

这里没有使用https的方式部署，使用的是http方式，其中需要注意客户端docker中需要配置对“非安全” http的支持，加入--inscure-registry  参数的支持。

Harbor产品本身解决了本地局域网内部集中管理容器镜像的问题，如果是生产环境，可以考虑再加入同步复制的功能以确保数据的安全性，这里就不展开说，我也没用到，用到的时候再说。